Categories: Sicherheit

Antivirenprodukte von Symantec weisen schwerwiegenden Overflow-Bug auf

Google-Sicherheitsforscher Tavis Ormandy hat einen Fehler in Symantecs Antivirus Engine entdeckt. Das Parsen präparierter Header-Informationen einer Datei im Format Portable-Executable (PE) kann zu einem Puffer-Überlauf führen.

„Solche deformierten PE-Dateien können per E-Mail eingehen, durch Downloads eines Dokuments oder einer Anwendung, und auch durch Besuch einer bösartigen Website“, heißt es in Symantecs inzwischen verfügbarem Advisory. „Eine Nutzerinteraktion ist nicht nötig, um das Parsen der Datei auszulösen.“ Die Lücke wurde als CVE-2016-2208 klassifiziert.

Auf der Seite von Googles Project Zero heißt es, unter Linux, OS X oder anderen Unix-artigen Systemen führe der Exploit dazu, dass ein Heap Overflow ausgelöst werde. Unter Windows hingegen werde die Scan-Engine in den Kernel geladen, „was dies zu einer aus der Ferne nutzbaren ring0-Speicherkorruptions-Schwachstelle macht – etwa das Schlimmste, was passieren konnte.“

HIGHLIGHT

Samsung Galaxy TabPro S im Test

Mit einem Gewicht von nur 693 Gramm gehört das Samsung Galaxy TabPro S zu den Leichtgewichten unter den 12-Zoll-Windows-Tablets. Hervorzuheben ist auch das verwendete Super AMOLED-Display: Es liefert einen hervorragenden Schwarzwert und einen sehr hohen Kontrast. Die Farbdarstellung ist exzellent

Somit belegt der Fall, dass es keine gute Idee war, unter Windows die Antiviren-Engine in den Kernel zu laden. Ormandy schreibt: „Dies ist eine Schwachstelle, die Remote-Codeausführung ermöglicht. Weil Symantec einen Filter-Treiber einsetzt, um alle Systemkommunikation abzufangen, genügt es, einem Opfer eine Datei oder einen Link zu schicken.“ Die Dateiendung spiele übrigens keine Rolle. Typisches Zeichen für einen erfolgreichen Angriff dürfte ein Systemabsturz sein, der in einem Blue Screen of Death resultiert.

Ein erfolgreicher Angriff resultiert im BSoD (Screenshot: Tavis Ormandy, Google).

Als Ormandy seinen Befund an Symantec einschickte, brachte er prompt Symantecs Mailserver zum Absturz. Der Beispielcode steckte zwar in einer passwortgeschützten ZIP-Datei, die Sicherheitslösung erriet das Passwort „infected“ jedoch.

Laut Google Project Zero sind Symantec Endpoint Antivirus, Norton Antivirus, Symantec Scan Engine und Symantec Email Security auf allen Plattformen betroffen – „sowie vermutlich alle anderen Antiviren-Produkte von Symantec.“ Patches stehen seit dem gestrigen Montag zur Verfügung. Wer LiveUpdate nutzt, erhält sie automatisch.

Google-Forscher Ormandy hat schon Schwachstellen in zahlreichen anderen Antivirenprodukten aufgespürt, darunter Avast Antivirus, AVG Antivirus, FireEye, Kaspersky Antivirus und Malwarebytes. Auch Lücken in Microsoft Windows konnte er in der Vergangenheit melden.

[mit Material von Chris Duckett, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago